!
!
!
!
!
!
実例に見る
不正行為対策ガイド
異常の検出と不正行為対策にマシンデータを活用する
日常生活の多くの部分でデジタル化が進むにつれ、不正行為の問題はますます深刻に なっています。普段の生活ですぐに思い浮かぶアカウントは、すべて不正行為の標的に なる可能性があります。アカウントには、クレジットカード番号、銀行の口座番号、メー ルアドレス、電話番号、住所、ユーザー ID、処方箋、会員プログラム、ゲーマータグな どがありますが、これらはほんの一部に過ぎません。 不正行為とは、金銭的または個人的利益を目的として行う不正または犯罪的な詐欺とし て定義されます。なりすましからアカウント資格情報や個人情報の盗難まで、その形態は さまざまです。 オンラインサービス、ユーザーアカウント、医療機関、小売業者、教育機関、金融機関 などにとって、不正行為からの防御はますます大きな課題となっています。現実的には 次のような疑問が生じてきます。 • 欧州の大手通信事業者であるTelefonica社は、6,000 件に及ぶ高級スマートフォ ンの注文が悪人の手に渡るのをどのように防いでいるのか? • PostFinance 社は、ユーザーがオンラインバンキングのミラーサイトに誘導され
!
!
!
!
!
!
不正行為の検出では、ユーザーやその他の定義済みエンティ ティによるアクティビティをリアルタイム、ほぼリアルタイム、 あるいはバッチで分析することによって、顧客と企業の情報、 資産、アカウント、取引を保護するプロセスとアクションを 実装しています。バックグラウンドのサーバーベースのプロ セスを使用して、ユーザーやその他の定義済みエンティティ によるアクセスパターンや行動パターンを調べ、一般的には この情報と予想されるプロファイルを比較します。不正行為 の検出は、ユーザーのアクティビティが不正だと疑われない 限り、ユーザーに影響を与えません。 デジタル化は常に新しい様相を呈し、変わり続けています が、不正行為者が不正を働くために取る手順は基本的に変 わりません。不正行為者は、アカウントと必要な情報を特定 し、脆弱性を見つけ出して悪用します。
アカウントの乗っ取り (ATO:account takeover)、申請詐 欺、非対面取引 (CNP:card-not-present) 詐欺などのどれ をとっても、不正が増え続けていることに疑いの余地はあり ません。米国司法省の推定によると、同国では医療詐欺だ けで毎年 100 億ドルもの被害が発生しています。一説によ ると、被害額は 1,000 億ドルに近いともいわれています。 不正行為は、組織に金銭的負担を強いるばかりではありま せん。ある調査によると、不正行為は昨年検出された侵害の 85% を占めています。個別の侵害で、組織の評判や効率、 コンプライアンス義務の遵守状況にもダメージを与えること を考えると、被害はさらに大きくなります。 不正行為を働く手順が変わらず、不正行為の検出プロセス を実装することが可能であれば、不正行為管理チームが脅 威に先手を打つことが難しいのはなぜでしょうか。組織はお 金を失いたくないはずです。 一般に、組織はビジネスと同じスピードで新しいサービスの 開発と導入を進めていますが、不正行為について検討した り、異常検出のために不正検出アクションやプロセスを導入 したりする速度がこのスピードに追いついていません。 サービスの提供を続け、顧客を保護し、デジタル時代の信 頼を確立するために、組織には不正行為の試行を一元的に 検索、検出、監視、調査できる機能が必要です。 どのようなデジタルサービスでも、不正なアクティビティの フィンガープリントはマシンデータに記録されます。そのた め組織がマシンデータを利用すれば不正行為に先手を打つ ことができます。以降のページでは、実例に基づく 6 つのシ ナリオを使用して、次のような不正行為の検出にマシンデー タを利用する方法を説明します。 • アカウントの乗っ取り:クレデンシャルスタッフィング • アカウントの乗っ取り:フィッシング • サービス妨害 • ペイメントカード情報 • 金融口座情報 • 米国での医療詐欺の実例
数字で見る不正行為の増加
米国における不正行為の問題は深刻化する一方である (不正行為の増加、2015 ∼ 2020 年 (推測)、単位:10 億米ドル) $3.2 $1.4 $0.6 $3.3 $1.6 $0.7 $4.0 $1.9 $0.8 $4.4 $2.2 $0.8 $5.5 $2.5 $0.9 $5.9 2015Account Takeover Fraud
2016 e2017 e2018 e2019 e2020
$2.8 $1.0 Application Fraud
Card Not Present Fraud
出典:Lexis Nexis『True Cost of Fraud Study』 LexisNexis Fraud MultiplierSM
は上昇中 重み付きの加盟店データ Q:不正行為で御社が被った損失の総額 についてお答えください。過去 12 カ月間 で、さまざまな不正行為によるコストの分 布をご記入ください。 2010 年 7 月∼ 2016 年 2 月、 n = 145 ∼ 712 基準 = 過去 12 カ月間に不正が発生した 加盟店 $3.50 $3.00 $2.50 $2.00 $1.50 $1.00 $0.50 $0.00 2010 $3.10 2011 $2.32 2012 $2.69 2013 $2.79 2014 $3.08 2015 $2.23 2016 $2.40 不正行為に よ る 金銭的損失の総 コ ス ト (1 ド ル あ たり )
LexisNexis Fraud MultiplierSM
出典:アイテ・グループ、20 カ国の消費者に対する ACI ワールドワイド調査、 2016 年第 2 四半期 Q:過去 5 年以内に、デビットカード詐欺またはクレジットカード詐 欺が 2 件以上発生しましたか。 13% 13% 17% 2012 (n=4,813) 2014 (n=4,866) 2016 (n=4,699)
出典:Lexis Nexis 『True Cost of Fraud Study』
数字で見る不正行為の増加
(
続き
)
従来のアプローチでは急速に進化する不正行為やサイバー犯罪に対応できない 不正行為が複製される変曲点を迎える前に新しい不正行為を特定したい。不正行為に
よる損失
時間 à 不正行為者の活動: 試行 改良 監視 分析 [データ収集] 鎮圧[ルールを適宜更新] 特定 特徴付け [ルールの発見] 複製 回避 放棄 運用担当者の活動: 予測可能な 期間 リモートチャネルの加 盟店で発生したフラグ 付きのトランザクション 重み付きの加盟店データ Q:過去 12 カ月以内に、御社で不 正の可能性があるとフラグを付けた 全トランザクションのうち、自動化 されたシステムによってフラグが付 けられた割合はどれくらいですか。 このうち (...)、手作業でのレビュー の対象となった割合はどれくらいで すか。 大規模 m コマース46%
他の手段による フラグ50%
他の手段による フラグ54%
自動化された システムによる フラグ50%
自動化された システムによる フラグ42%
手作業での レビューの対象47%
手作業での レビューの対象58%
手作業での レビューの 対象外53%
手作業での レビューの 対象外 大規模 e コマース実例に見る不正行為
シナリオ
1
:アカウントの乗っ取り
-
クレ
デンシャルスタッフィング
A 社ではオンラインプラットフォームを提供しており、顧客 はそのプラットフォームに登録するとホテルを予約できます。 顧客は、その登録プロセスでパスワードを選び、メールアド レスを確認し、支払い情報やよく使うホテルチェーンの会員 番号を入力し、予約やパスワードリセットを電話で行うため のセキュリティの質問を設定します。 ある時、メールをホスティングしていたある業者に侵害が発 生して、メールアドレスが流出しました。さらに、メールア ドレスに紐付くパスワードハッシュも流出しており、簡単に 復号されてしまいました。攻撃者はスクリプトを作成し、多 数のオンラインショップや予約ウェブサイトに数千通りものシ ステム攻撃を仕掛けて、ユーザーが同じパスワードを使用し ているアカウントを探しています。どのような影響があり、何を懸念すべきか?
A 社自体は侵害を受けていませんが、A 社のサービスと顧 客が危険にさらされている可能性があります。攻撃者は、 正当なユーザーを装って A 社が気づかないうちにアカウント を乗っ取り、より機密性の高いデータにアクセスしたり、不 運なユーザーの支払いオプションを利用してホテルを予約し たり、メンバープログラムを利用して無料でホテルに宿泊す ることができます。これらすべてが甚大な被害につながり、 高い損失リスクをもたらします。マシンデータによるソリューション
機械学習を利用することで、人の手を介さないスクリプトに よるログオンの試行や通常の動作からの逸脱をマシンデー タの中から特定し、関連性のある兆候を見つけることがで きます。その後、ビジネスアプリケーションやファイアウォー ル内で不正行為の試行 (IP や特定のユーザーエージェント 文字列など) をブロックできます。不正行為の兆候を示す例 には、ユーザーがそれまでログオンしたことのない国からの ログオンや、不自然なログオン時刻、不正なユーザーによ る新しいシステムやブラウザからのログオンなどがあります。シナリオ
2
:アカウントの乗っ取り
-
フィッ
シング
ある銀行はオンラインバンキングを顧客に提供しています。 ある時、悪意あるユーザーが、銀行の所在国以外の国にホ ストされているドメインを使い、銀行のオンラインポータル を装うサイトを構築しました。次に、この銀行の顧客にスパ ムメールでフィッシング攻撃を行い、リンクをクリックさせて この銀行のオンラインポータルに似せたフィッシングサイト に誘導してログオンさせます。攻撃者は、こうして入手した 資格情報で正規のポータルにログオンし、ユーザーのアカ ウントにアクセスします。どのような影響があり、何を懸念すべきか?
攻撃者が資格情報を悪用して不正なアクティビティを実行す る可能性があります。特定のアクティビティに対し、トラン ザクション認証番号やワンタイムパスワード技術などの追加 のセキュリティコントロールがすでに導入されているとして も、攻撃者は決済取引、資産状況、金融残高などの知り得 た情報を利用してさらに個人情報を収集し、その顧客を将 来的な攻撃の標的としてリスクに晒すことが可能です。マシンデータによるソリューション
これらの工作は大部分がこの銀行の境界外で行われ、同行 の影響力の及ばないところで進行するため、同行が取り得 る対応は限られています。ただし、マシンデータを使用すれ ば対策は可能です。おそらく、しばらくすると、PhishTank、 所在国の CERT、フィッシング被害を受けた顧客からこの 銀行の不正行為管理チームに情報が伝えられます。不正行 為管理チームは、フィッシングサイトにアクセスし、正当な ユーザーに見せかけたデモ用の資格情報を入力して、攻撃 者がこの銀行のポータルに正当なアクセスを試みるのを待 ち伏せします。 次に、攻撃者をデモアカウントに誘導し、何を行おうとして いるのかを観察します。これにより、攻撃者が使用した IP アドレス、出身国、使用しているシステムやブラウザといっ た侵害の痕跡 (IOC) をマシンデータから抽出できます。こ の情報を使って、同様の IOC を含むアクティビティをブロッ クすることが可能になります。また、ハッキンググループの 被害を受けたユーザーを特定するための調査を開始するこ ともできます。シナリオ
3
:サービス妨害
B 社は無料メールサービスを顧客に提供しています。登録 するとユーザーはそのサービスを使用できます。このサービ スでは、SMS 機能も無料で提供しています。ある時、攻撃 者が B 社のサービスに登録し、スパムメールを数千人に送 信しました。さらに攻撃者は、B 社の SMS サービスを使 用して携帯電話にスパムを送り、悪意ある URL へのアクセ スやペイパーコール番号への発信を誘導しています。どのような影響があり、何を懸念すべきか?
メールサービスが数千通ものメールの送信に利用されたた め、B 社のメールドメインは短時間でほぼすべてのセキュリ ティベンダーのスパムリストに追加され、B 社のユーザーと サービスに悪影響を及ぼします。さらに、メールの送信が サーバーに大きな負荷をかけるため、メールサーバーをホ ストしているクラウドプロバイダーから想定外の高額料金が 請求される可能性があります。また、スパムに利用された SMS メッセージの代償は高くつき、受信者側から賠償を要 求される可能性があります。マシンデータによるソリューション
不正行為管理チームがマシンデータを活用すれば、サービ スの利用状況や最も利用量の多いユーザーについてインサ イトを得て、異常を検出することができます。シナリオ
4
:ペイメントカード情報
ペイメントカードの不正使用には、カードを提示する CP(card-present) 型とカードを提示しない CNP (card not-present) 型の 2 種類があります。不正使用の原因としては、 盗難されたカードが使用された場合と、キオスクまたはカー ドリーダーが侵害された場合があります。それ以外にも、注 文時に、カードの確認のためにカード所有者がカードを物 理的に提示しない (または提示できない) 場合でも、カード 決済が実行できることも原因です。不正行為者がオンライン フィッシングを利用したか顧客のクレジットカードを盗んだ ために、カードの資格情報やカード所有者の情報が盗まれ た可能性があります。企業には不正なトランザクションが記 録され、払い戻しに対応する必要に迫られます。
どのような影響があり、何を懸念すべきか?
基本的にカード所有者には責任がないため、加盟店、クレ ジットカード会社、または保険会社が金銭的負担を負うこと になります。その金銭的負担をすべて合算し、自分の情報が 保護されていないと感じる顧客からの信用を失うことも考え 合わせると、甚大な損失となる可能性があります。消費者 は安全ではないと感じるようになると、クレジットカードの 利用や特定の場所への訪問を控えるようになります。カード を再発行するだけでは必ずしも顧客のロイヤルティを再構築 できず、金融機関は大きな打撃を受けます。アナリストがト ランザクションを 1 件ずつ精査したとしても驚くほど時間と 費用がかかるうえ、多くのことが見落とされ、失敗に終わる 可能性もあります。マシンデータによるソリューション
マシンデータを使用することで、電信送金やカード決済に関 する不正行為のルールを定義し、疑わしいアクティビティを 特定できます。場所や店舗の変更など、さまざまな速度ベー スのルールを定義することができます。場所や店舗があまり に速く変わっていたら、カードが複製されたことを示唆して いる可能性があります。また、時間や店舗など、さまざまな 基準で疑わしいカード決済をフィルタリングすることによって 可視性を高めることもできます。マシンデータを使用すると、 変則的なトランザクションが発生しているペイメントカード を特定して、異常使用されているカードをより正確に特定す ることもできます。また、リスクの高いカードが大量に利用 されている加盟店やカード端末を特定することも可能です。シナリオ
5
:金融口座情報
ある大学では、多数の教職員に給与を支払っています。そ の教職員から、銀行口座情報へのアクセスを試みるフィッシ ングメールが報告されました。一部のフィッシング攻撃は成 功したようで、教職員の給与を不正な口座に送金できるよう に変更が加えられていました。どのような影響があり、何を懸念すべきか?
教職員に支払ったはずの給与が不正なアクティビティによっ て消失しますが、教職員に給与を支払う必要があるため、 大学は給与を二重に支払うことを余儀なくされます。さらに、 時間のかかる調査を実施して何が起こったのかを調べ、不 正行為の再発を防止する必要があります。マシンデータによるソリューション
マシンデータを利用すれば、給与の処理を実行する前に フィッシング攻撃やアカウントの乗っ取りを検出して防止し、 調査に必要な情報をすべて収集することができます。その他 に、繰り返し可能なテストを開発することで異常な傾向、デー タの異常、制御の問題を特定できるようにするインサイトを 得ることができます。このテストは、不正行為が実際の被害 をもたらすのを防ぐ早期警告システムとしても機能します。シナリオ
6
:米国の医療機関
米国のある医療機関で、医師の間にオピオイドの処方や配 布を含む不正行為が蔓延していることが発見されました。こ の機関では規制と要件の適切な遵守を徹底しているにも関 わらず、違法な処方を記述する医師が後を絶ちません。どのような影響があり、何を懸念すべきか?
全米では 400 人以上が医療や医薬品関連の詐欺で訴追さ れています。このことが規制や要件に影響を与え、結果とし て医師の日々の業務が難しくなり、患者が必要な処方を簡 単に入手できなくなる恐れがあります。さらに、罰金や刑事 罰が科される可能性もあります。マシンデータによるソリューション
マシンデータを使用することで、処方薬の配布回数や量が 同僚と比べて異常に多い特異な医師を特定したり、それぞ れの医師や専門分野について可視性を高めることができま す。また、場所、専門分野、医薬品の種類、合計請求額、 異常な医薬品の割合などに基づいてデータのフィルタリング を開始できます。Splunk
の導入
不正行為の検出と防止は今や世界的な問題となっており、 規模や業種を問わずあらゆる組織に影響を与えています。 不正行為の検出と防止はビッグデータの課題であり、そのソ リューションの要となるのがマシンデータです。ビジネスの オンライン化に伴い、内部または外部での不正行為の証拠 やパターンは大量の非構造化マシンデータの中に潜んでい ます。非構造化データの大半を占めるのが、ビジネスアプリ ケーション、IT インフラストラクチャ、セキュリティシステム から生成されるログです。 そのような不正行為に関連するマシンデータは、Web プロ キシ、ファイアウォール、認証システム、トランザクション 処理システム、支払および請求システム、データベース、 POS システム、オペレーティングシステムなど、さまざまな ソースから生成されます。関連性の高いマシンデータをイン デックス化し、検索して相関付けを行い不正行為のパターン を特定することで、組織はリアルタイムに不正行為を検出し て警告を発し、収益に悪影響を与える前に対策を講じるこ とができます。 Splunk は分析主導型プラットフォームであり、ビジネスの スピードに合わせて新しいデータを取り込むことができます。 不正行為管理チームはデータを検索、検出、調査すること で、異常をすばやく見つけ出し、金銭的被害、評判の低下、 組織の効率性への影響を低減できます。Splunk ソリューショ ンは、他のベンダーのツールや不正対策専用ソリューション が混在していても、複数のデータソースの可視性を向上さ せることができます。 さまざまな場所から収集した異なる種類のデータをすべて 取り入れて、情報を提供して相関付け、異常を示すあらゆ るパターンを検出する機能が搭載されたソリューションは、 Splunk 以外にはありません。Splunk プラットフォームを使 用すれば、組織は以下のような幅広い不正行為対策、デー タの盗難や悪用の課題にマシンデータを駆使して対応できま す。 • 不正行為の検出:相関サーチと異常検出により、不正行 為を実行時に特定してアラートを生成できるため、組織は 収益に悪影響を与える前に不正行為対策を講じることが できます。 • 不正行為の調査:現在と過去の大量のマシンデータに対 して検索やピボット分析をすばやく行うことで、不正行為 の可能性を調査し、不正行為が疑われる行動を「誰が、 何を、どこで、いつ、どのように」行ったのかを把握します。アカウントの乗っ取りの検出:
さまざまなユーザーのアカウントで試行された不正行為を Splunk で特定
• 不正行為の分析と報告:さまざまな内部ユーザーの不正 行為のリスクを簡単に分析、測定、管理できます。 • 既存の不正行為対策ツールの拡張:サイロ化したさまざ まなツールからのイベントデータをインデックス化し、1 つのトランザクションの不正行為スコアを集計します。 • 統合されたレポートとダッシュボードを構築し、企業全体 の不正行為のリスクを一元的に可視化します。
• Splunk の Machine Learning Toolkit を使用して、異常 性の高いトランザクションで使用された支払方法を速やか に特定します。
• Splunk User Behavior Analytics (UBA) を 使 用 して、 root アカウント、サービスアカウントなどの共有特権アカ ウントを含むユーザー、デバイス、アプリケーションに関 連する悪意ある行動や異常な行動を発見することで、アカ ウントの乗っ取りを検出します。 銀 行 から医 療 機 関まで数 百 以上 の 組 織や政 府 機 関 が Splunk を利用して不正行為に対応しています。以降のペー ジでは、その例をご紹介します。
ATO 調査:Splunk でログインの失敗を監視し、総当たり攻撃を検出
(以下は詳細ビュー )
ケーススタディ
mail.de
社ではオペレーショナルインテリ
ジェンスによりパフォーマンスと可用性が
向上
エグゼクティブサマリー
ドイツのギュータースローに拠点を置くメールプロバイダー の mail.de 社は、革新的で安全性の高いメールサービスを 誇りにしています。2012 年以来、無料メールアドレスに高 い品質要件とセキュリティ要件を付け加えた FreeMail とい うサービスをユーザーに提供してきました。新興企業である 同社の IT インフラストラクチャは、非常に多様なサーバー 環境で構成されており、ログファイルの形式がさまざまで、 マシンから生成されるデータ量が急増していました。mail. de 社はこのような Raw データを運用とビジネスに関するイ ンサイトに変換できる集約型のシステムを必要としていまし た。Splunk Enterprise をデプロイしてから、mail.de 社は 次のようなメリットを得られるようになりました。 • 顧客サービスの拡充 • ビジネスインサイトをリアルタイムで取得 • 時間の大幅な節約Splunk
製品群
• Splunk Enterprise• Google Maps Add-on for Splunk
Splunk
ソリューションエリア
• IT 運用 • アプリケーションデリバリー • ビジネスアナリティクス課題
• 異なるシステムが混在する環境からのログを統合して相 関付けることで、監視を容易にしてリアルタイムでアラー トを発生させる • IT 環境を 1 つの画面にまとめて表示することで、システビジネスへの影響
• リアルタイムのアラートにより、トラブルシューティングの 時間を短縮し、サービスの可用性を向上させ、IT チーム の時間を節約 • 問い合わせをリアルタイムで調査して解決する機能により カスタマーサポートを強化 • ビジネスインテリジェンスを常に可視化することが可能に なり、経営陣やマーケティングチームは時間をかけずセル フサービス方式で利用可能データソース
• メールサーバーログ • Web サーバーのログ • データベースログ • アプリケーションログSplunk
が選ばれた理由
mail.de 社は、安全でパフォーマンスの高いメールコミュニ ケーションを顧客に提供しているため、このサービスの可 用性を高く維持することはビジネスにとって不可欠です。同 社の IT インフラストラクチャには多数の異なるシステムが 混在するため、ログファイルの形式がさまざまで、マシンか ら生成されるデータ量も急増していました。その結果、IT 環境の状況を包括的に可視化できず、システムのエラーを 特定してシステムのダウンタイムを回避または最小化するこ とが難しくなっていました。中断が発生した場合、IT チー ムはあらゆるシステムを対象に根本原因を探す必要があり ました。これは長く、時間のかかるプロセスで、サービスの 可用性に悪影響を及ぼしていました。mail.de 社は、すべ てのログファイルを一元的に監視し、リアルタイムでアラー トを発生させるシステムを導入できる、新しいソリューショ ンを必要としていました。mail.de 社が Splunk Enterprise を知り、小規模チームで 導入したところ、外部のコンサルタントを利用せずにわずか
数時間で実装が完了しました。IT チームでわからないこと
が発生した場合でも、いつでも Splunk Answers (answers. splunk.com) のサポートコミュニティに頼ることができまし た。mail.de 社は短期間で Splunk プラットフォームの持つ 可能性を実感し、Google Maps Add-on for Splunk などの アプリケーションを追加して環境を拡張しました。
「Splunk ソフトウェアを導入するまでは、自社システムの 可視性は限定的で、お客様に提供できるサービスに影響 を与えていました。Splunk Enterprise を使用したところ、 システム内のエラーの場所を突き止めてお客様の問題を プロアクティブに解決できるようになりました。この処理 はすべてリアルタイムで行うことができます。その結果、 当社のサービスの可用性を大幅に向上させることに成功 しました。また、Splunk ソフトウェアの利用を拡大し、 お客様や経営陣にリアルタイムのインサイトを提供できる ようになりました。mail.de では、Splunk のユースケー スをさらに拡大できると考えています」
– mail.de 社、創業者兼 CEO、Fabian Bock 氏
運用に関するインサイトでサービスを最適化
プロアクティブなリアルタイム監視は、mail.de 社の IT 部門 にとって特に重要な機能となりました。システムでエラーが 発生すると、できるだけ早急に根本原因を突き止める必要 があります。mail.de 社は、サービス全体を常に最適化する ために、さまざまなアラートを設定しました。これによって システム障害などの異常が発生した場合はただちにメール 通知が送信されます。 さらに同社のサポートチームは、Splunk Enterprise を使用 して顧客から報告された問題を迅速に診断し、問題の発生 後すぐに場所を特定して修正することができるようになりま した。顧客のメールが意図した受信者に届かない場合も、 サポートチームは内部エラーが存在するのか、受信者側の 問題なのかをわずか数秒で判断できます。相関付けによる時間とコストの削減
すべてのログファイルを 1 カ所でインデックス化し、現在と 過去のデータの相関付けをリアルタイムで実行できるため、 会社全体で大幅な時間の節約を達成できました。Splunk Enterprise を使用すれば、わずか数クリックでさまざまなシ ステムを分析できます。それに加え、各部門にとって最も重 要な情報が、シンプルで使いやすい形式ですべての部門に 提供されます。 各部門は、必要に応じて特定の追加情報をアドホックで受 け取ることもできます。たとえば、サポートチームが顧客か ら特定のメールの所在を尋ねられた場合、サポートチーム はわずか数分でメールが届いたかどうかを確認できます。さまざまな部署でビジネスインサイトが明確な価
値を実現
経営陣を含め、mail.de 社のあらゆる部署とグループが Splunk Enterprise のメリットを認めるようになりました。 経営陣は Splunk のレポートとダッシュボードで重要なビジ ネス指標のパフォーマンスを確認しています。これにより、 FreeMail サービスの新規登録者数など、最も重要なビジネ ス指標が経営陣に対して視覚的に表示されます。マーケティ ングチームは、Splunk Enterprise から得たインサイトを利 用して特定のキャンペーンの有効性を評価し、顧客の行動 までドリルダウンしています。パフォーマンスとサポートの問 題は、非常に短時間で特定して解決できるようになりました。 プロアクティブなアラートにより、顧客が気づく前に問題を 回避することもできます。mail.de 社は Splunk Enterprise を活用して業界で最も信頼性と安全性が高く機能が豊富なメールコミュニケーションサービスを提供するという約束
ケーススタディ
PostFinance
銀行では不正行為の検出
とカスタマーエクスペリエンスを改善
エグゼクティブサマリー
PostFinance 銀行はスイス第 3 位の規模を誇るリテールバ ンクで、300 万人弱の顧客が利用しています。同行は、さ まざまな金融商品を消費者と加盟店の両方に提供してお り、スイスの決済プロバイダーのトップとしての地位を確 立しています。同行では、決済処理とオンラインバンキン グサービスの可視性を向上させることで、さらにプロアク ティブに脅威に対応し、お客様を不正行為から保護する必 要がありました。Splunk Enterprise をデプロイして以来、 PostFinance 銀行は次のようなメリットを得られるようにな りました。 • デビットカード詐欺の検出率の向上 • オンライン バンキングプラットフォーム全体でリアルタイ ムのオペレーショナルインテリジェンスを取得 • 決済アーキテクチャの全体的な可視性を向上Splunk
製品群
• Splunk Enterprise • Splunk のユースケース • セキュリティと不正行為 • アプリケーションデリバリー課題
• オンラインショッピングソリューション全体で運用が可視 化されていない • PostFinance デビットカード用に内部で不正対策セキュリ ティソリューションを構築する必要がある • セキュリティ環境の変化に対応するために、フィッシング 攻撃への対応能力を強化する必要があるビジネスへの影響
• オンラインと店舗での不正行為の検出を効率化 • 運用状況の可視化により、セキュリティチームによるフィッ シング攻撃やその他のオンライン上の脅威の迅速な検出 と対応を実現 • 加盟店のニーズに対する商品管理チームの対応能力を改 善データソース
• e コマースアプリケーション • Web サーバーのログ • ミドルウェアのログ • DB のログ (Oracle、MSSQL) • オンラインバンキングのログ • ネットワークデバイスとアプライアンス • リバースプロキシ• Unix、Solaris、Windows Server
Splunk
が選ばれた理由
PostFinance 銀行の最優先課題は、顧客の金融資産と個 人データを犯罪者の手から保護することです。政府規制に 対応するために、大量のマシンデータが生成され、保存さ れています。同行は、不正防止とセキュリティに的を絞って、 このリソースから価値を引き出せるのではないかと考えまし た。 PostFinance 銀 行 の 不 正 行 為 管 理 チ ー ム は Splunk Enterprise を使用して、スイスの 11,000 の加盟店によって 使用されているオンラインショッピングソリューションに関 するインサイトを得ています。Splunk Enterprise は購入プ ロセスの各段階で技術を監視し、チームの分析に役立つデー タを提供しています。不正行為管理チームは、自動化され た約 50 種類の不正行為検索からダッシュボードに取り込ま れたデータを使用してアクティビティを追跡したり、チーム のニーズに応じてアドホック検索とレポート作成を実行した りすることができます。 また、Splunk プラットフォームを使用して、160 万人の顧 客に使用されている同行のオンラインバンキングポータル の監視も行っています。オンラインセキュリティチームは、 潜在的な攻撃についてアラートを受けると、顧客のアクショ ンを模倣して追加の情報を収集します。攻撃の各段階がインサイトによってデビットカード詐欺を検出
PostFinance 銀行は、同行の決済処理ソリューションでデ ビットカードを使用する顧客を保護するために、独自のセ キュリティおよび不正行為検出システムを開発する必要があ りました。同行は Splunk Enterprise を利用してこのシステ ムを監視することで、セキュリティおよび不正行為の検出機 能を効率化し、改善しています。以前は、不正行為管理チー ムが加盟店の取引から異常またはパターンを発見するため に、データベースとアプリケーションから成る複雑なマルチ ティアスタックを手動で構築する必要がありました。Splunk プラットフォームを使用することで、PostFinance 銀行はこ のプロセスの大半を自動化しました。節約された時間とリ ソースは、IT 運用のその他の重要な領域に回すことができ るようになりました。不正行為管理チームは、デビットカー ド取引で生成されたデータから得られた運用に関するイン サイトを含む追加のレイヤーを利用して、データをレビュー する不正行為ワークフローを運用に組み込み、潜在的な問 題にプロアクティブに対応できるようになりました。さらに、 履歴検証へのアクセスを含む検出メカニズムもわずか数分 でシステムに追加できます。これによって、大量の新規顧客 が 1 つの加盟店を利用するといった新しい不正行為パター ンを検出できるようになり、PostFinance 銀行が法執行機 関に問題をエスカレーションすることが可能になりました。 「当行では Splunk のプラットフォームの使用が劇的に増 加し、今では、IT 運用に欠かせない要素となっています。 そして e コマースからセキュリティ、不正行為までさまざ まな領域のインサイトを得ることができます。最終的には Splunk Enterprise によってお客様に提供する保護対策 を強化できました」 – PostFinance 銀行、IT インフラストラクチャ責任者、 Patrick Hofmann 氏データの可視性向上による顧客保護体制の強化
PostFinance 銀行は、デビットカードの使用を中心とし た不正行為の検出機能のアップグレードに加え、オンライ ンバンキングの Web サイトと E-Finance アプリケーショ ンでも Splunk プラットフォームのメリットを実感していま す。Splunk をデプロイするまで、攻撃のさまざまな段階で 生成されるデータを包括的に可視化する手段がなかったた めに、オンラインセキュリティ攻撃を追跡するのは非常に手 間がかかる作業でした。Splunk Enterprise を使用すれば、 潜在的なフィッシング攻撃などから生成されるあらゆるデー タの追跡とマッピングが可能になるため、迅速に攻撃を特 定して緩和できます。このように運用の可視性が向上したこ とで、PostFinance 銀行はより優れたオンラインバンキン グサービスを顧客に提供できるようになり、増え続けるオン ライン上の脅威に対して顧客をより安全に保護することがで きます。 PostFinance 銀行の IT 運用および IT インフラストラク チャ責任者である Patrick Hofmann 氏は次のように語っ ています。「このビジネスでは、お客様のデビットカード情 報と個人情報を保護することが非常に重要です。Splunk Enterprise が提供するデータは、不正行為管理チームが分 析する際に役立っており、決済処理をサポートしてくれます。」加盟店の成功とパフォーマンスに関するインサイ
トを向上
PostFinance 銀行の商品管理チームは、加盟店データの 可視性を改善することでサービスのイノベーションを進め、 顧客のニーズを満たす新しいツールや商品を提供すること ができました。その一例として、同チームは Splunk ダッシュ ボードを使用して、指定した期間内に決済サービスを使用 した加盟店の取引と収益を確認できるようになりました。こ れにより、かつては利用できなかったデータに基づいて意 思決定を行い、付加価値サービスを顧客に提供することが できます。顧客サービスにこのような動的アプローチをとる ことにより、PostFinance 銀行はスイスの決済分野でトップ の座を維持しています。ケーススタディ
DUKE
UNIVERSITY
デューク大学は強力なセキュリティインサ
イトを取得し不正行為を防止
エグゼクティブサマリー
1838 年創立のデューク大学は、ノースカロライナ州ダーラ ムに 8,500 エーカーのキャンパスを構える民間の研究機関 です。10 の学部が設置され、約 15,000 人の学部生と大学 院生が在籍しています。教職員を加えると、デューク大学の アクティブなネットワークユーザー数は 68,000 人を超えま す。デューク大学の IT セキュリティ対策室は、SIEM ソリュー ションが導入されていないことを含め、データとその使用方 法の課題に直面していました。Splunk Enterprise をデプロ イして以来、デューク大学は次のようなメリットを得られるよ うになりました。 • インシデントの調査と修復にかかる時間を数時間から数 分に短縮 • セキュリティ体制を強化 • フィッシング攻撃と給与支払いの不正行為を防止Splunk
製品群
• Splunk Enterprise• Google Maps Add-on for Splunk Enterprise
ソリューションエリア
• セキュリティ課題
• ログ管理システムが一元化されていない • IT 環境内のリスクを検出して調査するのが困難である • インシデント調査を手作業で行うため手間がかかる • メールサーバーの信頼性とセキュリティを向上させたいビジネスへの影響
• セキュリティインシデントの調査と修復にかかる時間を数 時間から数分に短縮 • 以前はサイロ化していた部門ごとの IT 運用の連携を強化 • アクセスとコラボレーションの強化により、セキュリティの 責任を組織全体に拡大 • カスタマイズ可能な SIEM ソリューションのニーズに応 え、分散化した IT 環境特有のニーズにも対応 • 侵害されたユーザーアカウントの検出と修正を迅速化し、 フィッシング攻撃と給与支払いの不正行為を検出して防止データソース
• Web のログ • Sophos PureMessage のスパム対策機能のログ • Postfix メールサーバーのログ • ログインイベントタイプ:VPN、シングルサイン オン、 SMTP • Shibboleth シングルサインオンのログ • Windows、Unix などのオペレーティングシステム • ネットワーク、IPS/IDS/ファイアウォールのログ • LDAPSplunk
が選ばれた理由
デューク大学の情報セキュリティ対策室 (ISO) が Splunk ソ フトウェアとその潜在能力を認識したのは 2013 年、SIEM ソリューションを探していたときのことです。デューク大学の IT 対策室 (OIT) は効率的な運営を重視しており、通常は独 自のツールを作成するか、複数の要件を満たすソリューショ ンを購入しています。SIEM ソリューションはセキュリティ業 務を担当しないメンバーにも使いやすくなければなりませ んでした。「いくつかの SIEM 製品をレビューして、どれも デモの段階では非常に強力に思えました」と、デューク大 学の最高情報セキュリティ責任者 (CISO) である Richard Biever 氏は語ります。「ところが、私たちがそのツールを試 用したり、他のチームに試用してもらうと、フラストレーショ ンのたまる学習曲線となりました。Splunk Enterprise の場 合、簡単にデプロイして使用でき、大学全体のさまざまなニー ズに合わせて調整できる十分な柔軟性も備えていました。」 現在、デューク大学では 1.25TB の Splunk ライセンスを ITO/ISO、メディカルセンター、そして 9 学部で共有してい ます。約 3,000 台のデバイスで軽量の Splunk フォワーダー を実行し、syslog、ネットワーク/IPS/IDS/ファイアウォール デバイス、VPN、LDAP、オペレーティングシステムを含む 200 種類以上のデータソースからデータを取得しています。Richard Biever 氏はさらに語ります。「私たちは、単なる セキュリティ製品ではないソリューションを必要としていまし た。システムチーム、ネットワークチーム、アプリケーショ
ン所有者、ID 管理グループのそれぞれのニーズを満たすこ
とができるソリューションが必要でした。そして、それを実 現してくれたのが Splunk Enterprise でした。Splunk ソフ トウェアでできることに限界はありません。キャンパス全体 で Splunk を使用しています。」
リアルタイムのアラートとレポート作成でセキュリ
ティ体制を強化
デューク大学は、Splunk Enterprise によってセキュリティ 対策をリアクティブからプロアクティブなアプローチに切り替 えることで、脅威の特定と修復の自動化、ログ管理の一元化、 パフォーマンス監視の効率化、レポートの利便性と定量化 の向上を実現しました。Splunk のプラットフォームは、リア ルタイムの脅威分析とアラートでも重要な役割を果たしてい ます。たとえば、インデックス化されたログが SSH 総当た り攻撃のパラメーターと一致すると、関連する IP アドレス にフラグが付けられて学部の侵入防止システム (IPS) に情 報が送信され、自動的にブロックされるようになります。メールトラフィックの監視によりセキュリティを強
化し、分散
DoS
攻撃を特定
大学のメールサーバーのセキュリティと信頼性を強化するた めに、デューク大学では受信する迷惑メールの送信元を突 き止めたいと考えていました。このようなメールの大部分は 米国外から送信されているようでしたが、それを裏付ける 明確な証拠はありませんでした。デューク大学エンタープラ イズインターネットサービスグループの上級アナリストである Jeremy Hopkins 氏は、GeoIP に基づくメールのフィル タリングの有効性を示すために Splunk Enterprise を導入 することにしました。
Hopkins 氏はチームとともに、高度な XML と Google Maps Add-on for Splunk Enterprise を使用して、世界地 図に迷惑メールを GeoIP ホットスポットとして表示できる Splunk ダッシュボードを構築しました。この Splunk ダッ シュボードを使用することで、メールトラフィックのフィルタ リングが必要であることを経営陣とデューク大学の技術アー キテクチャグループに納得させることができました。 現在同大学では、Splunk の GeoIP マッピング機能を使用 して、DoS 攻撃と分散 DoS 攻撃を区別しています。分散 DoS 攻撃を早期に特定することは、継続して発生する攻撃 に対応し、その後のイベントを防止するうえで重要です。
不正行為との戦い
2013 年 12 月、フィッシングメール攻撃により、複数の デューク大学職員の口座に振り込まれた給与が盗まれまし た。フィッシング攻撃の一報を受けた直後に、デューク大学 のセキュリティチームは Splunk Enterprise を使用して追跡 用のダッシュボードを設定し、Splunk の検索テーブルに疑 わしいフィッシングメッセージを記録しました。その他にも、 フィッシングメッセージと受信者情報を集約し、給与振込口 座の最新の変更について情報を提供する Splunk ダッシュ ボードを構築しました。調査員は、これらのダッシュボード を使用して情報を関連付け、従業員に連絡を取って給与振 込口座への変更が正当なものかフィッシングの被害によるも のかを判断することができます。 デューク大学エンタープライズ インターネット サービス グループの上級アナリストである Jeremy Hopkins 氏は 次のように述べています。「Splunk Enterprise を導入す るまで、ログやその他のデータソースはこのように可視 化されていませんでした。かつては、セキュリティ対策室 はログへのアクセスを申請しなければなりませんでした。 この変化はセキュリティグループにとって非常に画期的で す。Splunk ソフトウェアにより、数千時間もの作業時間 を節約できました。」ケーススタディ
Surescripts
社は医師と患者を保護する
ために不正行為の検出とセキュリティ機
能を強化
エグゼクティブサマリー
2001 年に設立された Surescripts 社は、薬局、医療提供 者、給付管理、医療情報交換を含む多様な広がりを見せる ケアパートナーのコミュニティ向けに、米国最大規模の医療 情報ネットワークを運営しています。特定のテクノロジーに 依存しない Surescripts 社のプラットフォーム上では大量の データが行き来しているため、同社は不正行為の監視を続 ける必要がありました。そのため、セキュリティ体制全体を リアルタイムで可視化して、迅速なレポート作成とインシデ ント対応を実現する必要がありました。Splunk Enterprise をデプロイして以来、Surescripts 社は次のようなメリットを 得られるようになりました。 • 不正行為の検出の精度が向上 • セキュリティイベントのインサイトを迅速に提供Splunk
製品群
• Splunk Enterprise • Splunk DB Connect• Splunk for Palo Alto Networks • Splunk on Splunk (S.o.S) • Splunk Enterprise Security (予定)
ソリューションエリア
• セキュリティ • ビジネスアナリティクス課題
• 大量の機密情報を保護する • 不正取引を特定して分析するプロセスを手作業で行うた め時間がかかるビジネスへの影響
• 数十億件のトランザクションに対する毎日の不正行為 チェックの自動化を強化 • 不正行為の検出の速度と精度が向上 • リアルタイムデータと過去のデータに対するより詳細な不 正行為分析 • セキュリティイベントのインサイトを迅速に提供 • インシデント対応の時間を大幅に短縮 • カスタマイズされた詳細で複雑なレポートの作成が可能データソース
• 3,000 種類のデータソース • VPN、ファイアウォール、サーバーのログ • マルウェア ID • パスワードの認証試行の失敗Splunk
が選ばれた理由
Surescripts 社は、毎年 60 億件以上のトランザクションを 処理しています。これには 7 億件以上の薬歴、10 億件の 電子処方箋、約 1,000 万件の臨床メッセージが含まれます。 Splunk を導入するまで、Surescripts 社の情報セキュリティ およびリスク管理チームにとって不正取引の特定と分析は手 間と時間のかかるプロセスでした。同社のチームは、多種 多様なプラットフォームからそれぞれ独自のアラートを受信 し、そのアラートを個別に読み解いて、関連する Raw ログ データを Excel にエクスポートして分析を行う必要がありま した。さらに、既存の SIEM による調査では 24 時間もの 遅延が発生しており、あまりにも時間がかかりすぎていまし た。 Surescripts 社は、セキュリティと不正行為を全社的に管理 するために、複数のデータセンターや広範囲に及ぶ仮想ま たは社内のハードウェアから構成された複雑なインフラス トラクチャ全体に Splunk Enterprise をデプロイしました。 「Splunk ソリューションをデプロイした瞬間に、投資価値 を実感しました。Splunk ソフトウェアのおかげで、当社は 何が重要なのかを判断し、あらゆるデータを完全にコント ロールできるようになりました。」と、Surescripts 社の最高 情報セキュリティ責任者 (CISO) である Paul Calatayud 氏 は述べています。リアルタイムの不正行為検出を自動化して改善
Splunk Enterprise をデプロイして以来、Surescripts 社は プロセスを効率化し、不正行為の分析を自動化しました。 ログイベントの Raw データはすべて Splunk インターフェイ ス経由で取り込まれるため、不正行為の検出、分析、緩和 に必要な時間が大幅に短縮されています。 また、Splunk ソフトウェアを使用して、薬物を自己処方し ている可能性がある医師のパターンをデータの中から発見 できるようになりました。同様に、ネットワークの中で有効 な処方箋を記述している正当な医師を認識し、そのような 医師をなりすましから保護することもできます。さらに同社 は、Splunk Enterprise でより複雑な不正行為クエリを実行 して、指定期間内に特定の場所で使用が制限されている薬 物や一般的に乱用されている薬物を処方している医師につ いてのデータなど、複数の「リスク」変数を取り入れて監視 しています。Splunk を使用すればそれらの変数の履歴トレ ンドを把握できるため、パターンの異常を特定し、医師の 資格情報がなりすましにあっていないかどうかを判断できま す。
従来の
SIEM
ソリューションを置き換えてインサ
イト取得までの時間を短縮
従来の SIEM ソリューションを Splunk ソフトウェアに置き 換えて以来、Surescripts 社は非構造化データからインサイ トを迅速に獲得できるようになりました。Calatayud 氏は次 のように述べています。「Splunk を使用すれば、データを 超えてセキュリティの領域まで見通すことができます。つまり、 すべてをカバーする視界が手に入るのです。それに加えて 当社のチームの専門知識から、重要な意味を示すことを分 析するための となる変数を見つけ出すことができます。こ れは一般的な SIEM では実現できません。」 さらに、Surescripts 社のセキュリティサービス担当マネー ジャーである Steve Olson 氏は次のように述べています。 「レスポンス時間を短縮できるだけではありません。何か 興味深いことを見つけたら、ピボットしてさらに詳細に分析 することができます。Splunk のレポートエンジンを使用して パターンを迅速に構築し、複雑にカスタマイズされた詳細 なレポートを作成できます。Splunk ソフトウェアなら、この ような作業を旧来の SIEM より遥かに簡単に実現できます。 さらに、以前はそれぞれの状態で生成に 15 分かかったレその他にも、Surescripts 社は Splunk DB Connect によっ てリレーショナルデータベースに保存されたデータにもアク セスしています。以前は本番環境にリモートからログインす る必要があり、上流プロセスへの依存性が原因で、必要な データが必ずしも手に入りませんでした。Olson 氏は「DB Connect を使用すると、データが生成されたらすぐにイン ポートされます。業務が遥かに楽になりました」と説明して います。
